Cybersikkerhedsbevidsthed er et kritisk forretningsspørgsmål for alle organisationer. Men det er ganske enkelt afgørende i sundhedssektoren, hvor data er særligt følsomme.
De store mængder fortrolige data kombineret med ofte sårbare sikkerhedssystemer og et omfattende netværk af tilsluttet medicinsk udstyr gør sundhedssektoren til et førsteklasses mål for cyberkriminelle.
Sundhedssektoren er en af de mest udsatte sektorer, der er plaget af et utal af cybersikkerhedsrelaterede problemer, såsom sikkerhedshændelser, brud på organisationen og datatyveri fra interne og eksterne kilder.
Sundhedsvæsenets cybersikkerhed i kritisk tilstand
Sidste år kostede databrud og ransomware-angreb sundhedsudbydere anslået 4 milliarder dollars. Faktisk har 67 % af sundhedsorganisationerne oplevet en cybersikkerhedshændelse inden for de seneste 12 måneder.
Den måske mest berygtede hændelse fandt sted i 2017, da et ødelæggende globalt cyberangreb lammetog computere på hospitaler i hele Storbritannien. Virkningerne af WannaCry-cyberangrebet var betydelige, idet cyberhændelsen afbrød tjenesterne på en tredjedel af hospitalsselskaberne og ca. 8 % af de praktiserende læger. De anslåede samlede omkostninger til genoprettelse af de berørte systemer var på 92 millioner pund, ifølge ministeriet for sundhed og social omsorg.
På det seneste har udbydere af sundhedsydelser og medicinske forskningsorganisationer oplevet en stigning i antallet af phishing-angreb i forbindelse med den igangværende Covid-19-krise. Brno University Hospital i Tjekkiet, som er et af landets Covid-19-testcentre, blev ramt af ransomware, hvilket resulterede i, at alle operationer blev udskudt.
Midt i en kraftig stigning i coronavirus-relaterede phishing-angreb på verdensplan blev det amerikanske sundhedsministerium (HHS) også udsat for et DDoS-angreb (Distributed Denial of Service), som havde til formål at forstyrre organisationens reaktion på Covid-19-pandemien.
Det britiske National Cyber Security Centre (NCSC) og det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har rapporteret om en række angreb på medicinske organer, især dem, der har været involveret i indsatsen mod pandemien.
Bekymringer for cybersikkerhed i sundhedssektoren
Det er klart, at hackere fortsat vil iværksætte cyberangreb mod sundhedssektoren, så længe der er penge at tjene, hvad enten de sælger stjålne patientdata eller holder sundhedssystemer som gidsler, indtil de kriminelles krav er opfyldt.
Sundhedssektoren har oplevet et betydeligt skift i de seneste år med tilpasningen af nye teknologier til at lette dataintegration, patientinddragelse og klinisk støtte.
Med denne overgang fra traditionelle papirbaserede metoder følger et væld af muligheder for cyberkriminelle, f.eks. malware, der kompromitterer patientdataenes fortrolighed, til DDoS-angreb (distributed denial of service), der forstyrrer muligheden for at yde patientbehandling.
Organisationer er imidlertid ofte for optaget af at forsvare sig mod eksterne trusler til at tage fat på de meget reelle og farlige risici, der kan ligge inden for deres egne rækker.
Truslen fra insidere
Med et væld af yderst fortrolige og beskyttede sundhedsoplysninger (PHI) lige ved hånden har sundhedspersonalet adgang til store mængder patientdata, som skal være tilgængelige for personalet, både på stedet og eksternt og på flere enheder.
Det er almindeligt anerkendt, at cyberkriminelle angriber det svageste punkt i en organisations forsvar, og alt for ofte er det medarbejderne. Sidste år afslørede det britiske Information Commissioner's Office (ICO), at menneskelige fejl var årsag til 90 % af alle databrud i forbindelse med cyberdata.
I sidste ende er sundhedspersonalet vogtere af data, og cybertrusler udgør nu et stort folkesundhedsproblem.
For at mindske risikoen skal sikkerhedsbevidsthed blive en integreret del af sundhedssektorens overordnede sikkerhedsstrategi for at forebygge potentielle cyberangreb.
Forebyggelse frem for receptpligtig medicin
I takt med at cyberangreb bliver mere sofistikerede og målrettede end nogensinde før, er bevidsthed om cybersikkerhed i sundhedssektoren det mest effektive våben mod disse trusler og teknikker, der hele tiden udvikler sig. Selv om der er flere lag af sikkerhed på plads, er bevidsthed om cybersikkerhed fortsat en stor udfordring for mange organisationer. Ofte anvendes der en ad hoc-tilgang, men det er vigtigt at erkende, at cyberbevidsthed er mere end blot simuleret phishing.
For virkelig at ændre adfærd på cybersikkerhedsområdet skal organisationer forpligte sig til et program for bevidsthed om cybersikkerhed, der gør det muligt for medarbejderne at anerkende og acceptere den vigtige rolle, de spiller i beskyttelsen af følsomme organisationsdata.
Da sundhedssektoren i stigende grad er udsat for ondsindede cyberangreb, er nøglen til at forbedre bevidstheden om cybersikkerhed i denne sektor at gennemføre en effektiv cyberbevidsthedskampagne og skabe en kultur af cyberbevidsthed.
Gennemførelse af en effektiv kampagne for cyberbevidsthed
- Start med CEO-lederskab
Cybersikkerhed er alles ansvar, men robuste organisationer har en stærk CEO-ledelse. Hvis den administrerende direktør tager cybersikkerhed alvorligt, vil dette smitte af på hele organisationen og bidrage til at skabe en kultur med øget bevidsthed om cybersikkerhed.
- Kend dine organisatoriske tolerancer
Hvis du tager dig tid til at identificere risiciene korrekt, kan det være med til at forme budskaberne, leveringen og den effektive målretning af dit program for bevidsthed om cybersikkerhed.
- Beskyt dine informationsaktiver
Du skal finde ud af, hvad dine mest værdifulde informationsaktiver er, hvor de er placeret, og hvem der har adgang til dem. Hvert aktiv skal klassificeres (f.eks. offentligt, privat eller fortroligt) og beskyttes på grundlag af dets værdi. Det er afgørende at gøre dette, når man skal identificere risici og prioritere de områder, der skal beskyttes.
- Fokusér på højrisikogrupper
Nøglen til et effektivt sikkerhedsbevidsthedsprogram er at sikre, at den rigtige uddannelse er rettet mod de rigtige personer. Alle brugere er modtagelige for cybertrusler, men visse medarbejdere har en højere trusselsprofil end andre. F.eks. vil dine HR- og finansafdelinger ofte blive udsat for phishing-trusler på grund af deres privilegerede adgang til værdifulde data.
- Gør det engagerende med effektiv storytelling
Historiefortælling er en af de mest effektive måder at give liv til din kampagne om cybersikkerhedsoplysning på. Indrøm det, cybersikkerhed kan være et tørt emne, men det er vigtigt, at du finder måder at engagere dine medarbejdere på, hvis du ønsker at påvirke adfærden i din organisation i positiv retning. Budskabet er simpelthen for vigtigt til at gå tabt i formel virksomhedskommunikation.
- Få din politikforvaltning opdateret
Politikker er afgørende for at fastlægge grænser for adfærd for enkeltpersoner, processer, relationer og transaktioner i din organisation. De udgør en ramme for styring, identificerer risici og hjælper med at definere overholdelse, hvilket er vigtigt i det stadig mere komplekse lovgivningsmæssige landskab i dag.
- Begynd at forberede dig på et databrud nu
Det er ikke længere et spørgsmål om "om" din organisation vil blive angrebet, men "hvornår". Du skal begynde at forberede dig på det uundgåelige og lægge en plan, der sikrer passende og rettidige foranstaltninger, når sikkerheden bliver brudt.
- Udnævn Cyber Security Champions
At udnævne Cyber Security Champions er en god måde at styrke medarbejderne på og give dem de nødvendige færdigheder til at forebygge et cyberangreb.
- Undersøg din forsyningskæde
Alle leverandører og tredjeparter, der har forbindelse til din virksomhed, udgør en potentiel risiko, så det er vigtigt, at du udfører detaljerede risikovurderinger af tredjeparter for at løse eventuelle problemer, der kan udgøre en trussel mod din sikkerhed. Ved at gøre det kan du hjælpe med at afgøre, hvilke sikkerhedsforanstaltninger der skal træffes for at beskytte dine data.
- Gennemførelse af passende tilsyn og regelmæssige revisioner
Trusselslandskabet udvikler sig hele tiden, og derfor skal dit program for bevidsthed om cybersikkerhed udvikle sig med det. Det er vigtigt at foretage regelmæssige undersøgelser af personalets beredskab for at identificere områder med svagheder og fastslå, om de nuværende politikker og den nuværende uddannelse skal opdateres.
Skab en mere sikkerhedsbevidst arbejdsstyrke
Cyber Security Awareness for Dummies er en uundværlig ressource til at gennemføre adfærdsændringer og skabe en kultur med cyberbevidsthed.
I denne guide lærer du:
- Hvad cybersikkerheds-awareness betyder for din organisation
- Hvordan man gennemfører en awareness-kampagne om cyberrisici.
- Politikkernes afgørende rolle i forbindelse med fastlæggelse af sikre baselines
- Hvordan man opretholder momentum og medarbejdernes engagement
- 10 bedste praksisser for cybersikkerheds-awareness
Klik her for at få dit gratis eksemplar af Cyber Security Awareness for Dummies.